Azure Security and Compliance Blueprint: Análise para FFIEC Financial Services

Visão geral

Este Plano de Segurança e Conformidade do Azure fornece orientação para a implantação de uma arquitetura de análise de dados no Azure adequada para a coleta, armazenamento e recuperação de dados financeiros regulados pelo Federal Financial Institution Examination Council (FFIEC).

Esta arquitetura de referência, guia de implementação e modelo de ameaça fornecem uma base para os clientes cumprirem os requisitos FFIEC. Esta solução fornece uma linha de base para ajudar os clientes a implantar cargas de trabalho no Azure de maneira compatível com FFIEC; No entanto, essa solução não deve ser usada as-is em um ambiente de produção porque é necessária uma configuração adicional.

Alcançar a conformidade com a FFIEC requer que auditores qualificados certifiquem uma solução de produção para o cliente. As auditorias são supervisionadas por examinadores das agências membros da FFIEC, incluindo o Conselho de Governadores do Sistema de Reserva Federal (FRB), a Federal Deposit Insurance Corporation (FDIC), a National Credit Union Administration (NCUA), o Office of the Comptroller of the Currency (OCC) e o Consumer Financial Protection Bureau (CFPB). Estes examinadores certificam que as auditorias são realizadas por avaliadores que mantêm a independência em relação à instituição auditada. Os clientes são responsáveis por conduzir avaliações apropriadas de segurança e conformidade de qualquer solução construída usando essa arquitetura, pois os requisitos podem variar com base nas especificidades da implementação de cada cliente.

Diagrama de arquitetura e componentes

Este Plano de Segurança e Conformidade do Azure fornece uma plataforma de análise sobre a qual os clientes podem criar suas próprias ferramentas de análise. A arquitetura de referência descreve um caso de uso genérico em que os clientes inserem dados por meio de importações de dados em massa pelo SQL/Data Administrator ou por meio de atualizações de dados operacionais por meio de um Usuário Operacional. Ambos os fluxos de trabalho incorporam o Azure Functions para importar dados para o Banco de Dados SQL do Azure. O Azure Functions deve ser configurado pelo cliente por meio do portal do Azure para lidar com as tarefas de importação exclusivas para os requisitos de análise de cada cliente.

O Azure oferece uma variedade de serviços de relatórios e análises para os clientes. Esta solução incorpora o Azure Machine Learning em conjunto com a Base de Dados SQL do Azure para navegar rapidamente pelos dados e fornecer resultados mais rápidos através de modelação mais inteligente. O Azure Machine Learning aumenta as velocidades de consulta ao descobrir novas relações entre conjuntos de dados. Uma vez que os dados tenham sido treinados através de várias funções estatísticas, até 7 pools de consultas adicionais (8 no total, incluindo o servidor do cliente) podem ser sincronizados com os mesmos modelos tabulares para distribuir cargas de trabalho de consulta e reduzir os tempos de resposta.

Para análises e relatórios aprimorados, os bancos de dados SQL do Azure podem ser configurados com índices columnstore. Os bancos de dados do Azure Machine Learning e do Azure SQL podem ser dimensionados para cima ou para baixo ou desligados completamente em resposta ao uso do cliente. Todo o tráfego SQL é criptografado com SSL através da inclusão de certificados autoassinados. Como prática recomendada, o Azure recomenda o uso de uma autoridade de certificação confiável para segurança aprimorada.

Depois que os dados são carregados no Banco de Dados SQL do Azure e treinados pelo Azure Machine Learning, eles são digeridos pelo Usuário Operacional e pelo SQL/Administrador de Dados com o Power BI. O Power BI exibe dados intuitivamente e reúne informações em vários conjuntos de dados para obter mais informações. Seu alto grau de adaptabilidade e fácil integração com o Banco de Dados SQL do Azure garante que os clientes possam configurá-lo para lidar com uma ampla variedade de cenários, conforme exigido por suas necessidades de negócios.

A solução usa contas de Armazenamento do Azure, que os clientes podem configurar para usar a Criptografia do Serviço de Armazenamento para manter a confidencialidade dos dados em repouso. O Azure armazena três cópias de dados no datacenter selecionado de um cliente para resiliência. O armazenamento redundante geográfico garante que os dados sejam replicados para um datacenter secundário a centenas de quilômetros de distância e novamente armazenados como três cópias dentro desse datacenter, evitando que um evento adverso no data center principal do cliente resulte em perda de dados.

Para maior segurança, todos os recursos nesta solução são geridos como um grupo de recursos através do Azure Resource Manager. O controle de acesso baseado em função do Azure Ative Directory é usado para controlar o acesso aos recursos implantados, incluindo suas chaves no Cofre de Chaves do Azure. A integridade do sistema é monitorada por meio da Central de Segurança do Azure e do Azure Monitor. Os clientes configuram ambos os serviços de monitoramento para capturar logs e exibir a integridade do sistema em um único painel facilmente navegável.

O Banco de Dados SQL do Azure geralmente é gerenciado por meio do SQL Server Management Studio (SSMS), que é executado a partir de uma máquina local configurada para acessar o Banco de Dados SQL do Azure por meio de uma conexão VPN segura ou de Rota Expressa. A Microsoft recomenda configurar uma conexão VPN ou ExpressRoute para gerenciamento e importação de dados para o grupo de recursos de arquitetura de referência.

Esta solução utiliza os seguintes serviços do Azure. Os detalhes da arquitetura de implantação estão na seção Arquitetura de implantação .

• Informações sobre aplicativos
• Azure Active Directory
• Catálogo de Dados do Azure
• Azure Disk Encryption
• Grelha de Eventos do Azure
• Funções do Azure
• Azure Key Vault
• Azure Machine Learning
• Azure Monitor (registos)
• Central de Segurança do Azure
• Base de Dados SQL do Azure
• Armazenamento do Azure
• Rede Virtual do Azure
  • (1) /16 Rede
  • (2) /24 Redes
  • (2) Grupos de segurança de rede
• Dashboard do Power BI

Arquitetura de implantação

A seção a seguir detalha os elementos de implantação e implementação.

Grade de Eventos do Azure: a Grade de Eventos do Azure permite que os clientes criem facilmente aplicativos com arquiteturas baseadas em eventos. Os usuários selecionam o recurso do Azure que gostariam de assinar e dão ao manipulador de eventos ou webhook um ponto de extremidade para o qual enviar o evento. Os clientes podem proteger os pontos de extremidade do webhook ao adicionar parâmetros de consulta ao URL do webhook ao criar uma Assinatura de Evento. A Grade de Eventos do Azure dá suporte apenas a endpoints de webhook HTTPS. A Grade de Eventos do Azure permite que os clientes controlem o nível de acesso dado a diferentes usuários para fazer várias operações de gerenciamento, como listar assinaturas de eventos, criar novas assinaturas e gerar chaves. A Grade de Eventos utiliza o controle de acesso baseado em funções do Azure.

Azure Functions: o Azure Functions é um serviço de computação sem servidor que permite que os usuários executem código sob demanda sem precisar provisionar ou gerenciar explicitamente a infraestrutura. Use o Azure Functions para executar um script ou parte do código em resposta a uma variedade de eventos.

Azure Machine Learning: o Azure Machine Learning é uma técnica de ciência de dados que permite que os computadores usem dados existentes para prever comportamentos, resultados e tendências futuros.

Catálogo de Dados do Azure: o Catálogo de Dados torna as fontes de dados facilmente detetáveis e compreensíveis pelos usuários que gerenciam os dados. As fontes de dados comuns podem ser registradas, marcadas e pesquisadas por dados financeiros. Os dados permanecem em seu local existente, mas uma cópia de seus metadados é adicionada ao Catálogo de Dados, juntamente com uma referência ao local da fonte de dados. Os metadados também são indexados para tornar cada origem de dados facilmente detetável através da pesquisa e compreensível para os utilizadores que a detetarem.

Rede virtual

A arquitetura define uma rede virtual privada com um espaço de endereço de 10.200.0.0/16.

Grupos de segurança de rede: os grupos de segurança de rede contêm listas de controle de acesso que permitem ou negam tráfego dentro de uma rede virtual. Os grupos de segurança de rede podem ser usados para proteger o tráfego em um nível de sub-rede ou VM individual. Existem os seguintes grupos de segurança de rede:

• Um grupo de segurança de rede para o Ative Directory
• Um grupo de segurança de rede para a carga de trabalho

Cada um dos grupos de segurança de rede tem portas e protocolos específicos abertos para que a solução possa funcionar de forma segura e correta. Além disso, as seguintes configurações são habilitadas para cada grupo de segurança de rede:

• Os logs e eventos de diagnóstico são habilitados e armazenados em uma conta de armazenamento
• Os registos do Azure Monitor estão ligados aos registos de diagnóstico do grupo de segurança de rede

Sub-redes: Cada sub-rede está associada ao seu grupo de segurança de rede correspondente.

Dados em trânsito

O Azure criptografa todas as comunicações de e para datacenters do Azure por padrão. Todas as transações para o Armazenamento do Azure por meio do portal do Azure ocorrem via HTTPS.

Dados em repouso

A arquitetura protege os dados em repouso por meio de criptografia, auditoria de banco de dados e outras medidas.

Armazenamento do Azure: para atender aos requisitos de dados criptografados em repouso, todo o Armazenamento do Azure usa a Criptografia do Serviço de Armazenamento. Isso ajuda a proteger e salvaguardar os dados em apoio aos compromissos de segurança organizacional e aos requisitos de conformidade definidos pela FFIEC.

Azure Disk Encryption: O Azure Disk Encryption aproveita o recurso BitLocker do Windows para fornecer criptografia de volume para discos de dados. A solução integra-se com o Azure Key Vault para ajudar a controlar e gerir as chaves de encriptação de disco.

Banco de Dados SQL do Azure: A instância do Banco de Dados SQL do Azure usa as seguintes medidas de segurança de banco de dados:

• A autenticação e autorização do Ative Directory permite o gerenciamento de identidades de usuários de banco de dados e outros serviços da Microsoft em um local central.
• A auditoria do banco de dados SQL rastreia eventos do banco de dados e os grava num log de auditoria numa conta de armazenamento do Azure.
• O Banco de Dados SQL do Azure é configurado para usar criptografia de dados transparente, que executa criptografia e descriptografia em tempo real do banco de dados, backups associados e arquivos de log de transações para proteger as informações em repouso. A criptografia de dados transparente fornece garantia de que os dados armazenados não foram sujeitos a acesso não autorizado.
• regras de firewall impedem todo o acesso aos servidores de banco de dados até que as permissões adequadas sejam concedidas. A firewall concede acesso a bases de dados com base no endereço IP de origem de cada pedido.
• Deteção de Ameaças SQL permite a deteção e a resposta a ameaças potenciais em tempo real, fornecendo alertas de segurança para atividades suspeitas de bases de dados, vulnerabilidades potenciais, ataques de injeção de SQL e padrões anómalos de acesso à base de dados.
• As Colunas Criptografadas garantem que os dados confidenciais nunca apareçam como texto sem formatação dentro do sistema de banco de dados. Depois de habilitar a criptografia de dados, somente aplicativos cliente ou servidores de aplicativos com acesso às chaves podem acessar dados de texto sem formatação.
• As Propriedades Estendidas podem ser usadas para interromper o processamento de titulares de dados, pois permitem que os usuários adicionem propriedades personalizadas a objetos de banco de dados e marquem dados como "Descontinuados" para dar suporte à lógica do aplicativo para impedir o processamento de dados financeiros associados.
• ORow-Level Security permite que os usuários definam políticas para restringir o acesso aos dados e interromper o processamento.
• O mascaramento de dados dinâmicos do Banco de Dados SQL limita a exposição de dados confidenciais mascarando os dados para usuários ou aplicativos sem privilégios. O mascaramento dinâmico de dados pode descobrir automaticamente dados potencialmente confidenciais e sugerir as máscaras apropriadas a serem aplicadas. Isso ajuda a identificar e reduzir o acesso aos dados para que eles não saiam do banco de dados por meio de acesso não autorizado. Os clientes são responsáveis por ajustar as configurações de mascaramento de dados dinâmicos para aderir ao esquema do banco de dados.

Gestão de identidades

As tecnologias a seguir fornecem recursos para gerenciar o acesso a dados no ambiente do Azure:

• O Azure Ative Directory é o serviço de gerenciamento de identidades e diretório multilocatário baseado em nuvem da Microsoft. Todos os utilizadores desta solução são criados no Azure Ative Directory, incluindo os utilizadores que acedem à Base de Dados SQL do Azure.
• A autenticação no aplicativo é executada usando o Azure Ative Directory. Para obter mais informações, consulte integrando aplicativos com o Azure Ative Directory. Além disso, a criptografia de coluna de banco de dados usa o Azure Ative Directory para autenticar o aplicativo no Banco de Dados SQL do Azure. Para obter mais informações, consulte como proteger dados confidenciais no Banco de Dados SQL do Azure.
• O controle de acesso baseado em função do Azure permite que os administradores definam permissões de acesso refinadas para conceder apenas a quantidade de acesso de que os usuários precisam para executar seus trabalhos. Em vez de dar a todos os usuários permissão irrestrita para recursos do Azure, os administradores podem permitir apenas determinadas ações para acessar dados. O acesso à subscrição é limitado ao administrador da subscrição.
• O Azure Ative Directory Privileged Identity Management permite que os clientes minimizem o número de usuários que têm acesso a determinadas informações. Os administradores podem usar o Azure Ative Directory Privileged Identity Management para descobrir, restringir e monitorar identidades privilegiadas e seu acesso a recursos. Esta funcionalidade também pode ser usada para impor acesso administrativo sob demanda e justo-a-tempo quando necessário.
• A Proteção de Identidade do Azure Ative Directory deteta potenciais vulnerabilidades que afetam as identidades de uma organização, configura respostas automatizadas a ações suspeitas detetadas relacionadas com as identidades de uma organização e investiga incidentes suspeitos para tomar as medidas adequadas para os resolver.

Segurança

Gestão de segredos: a solução usa o Azure Key Vault para o gerenciamento de chaves e segredos. O Azure Key Vault ajuda a salvaguardar chaves criptográficas e segredos utilizados por aplicações cloud e serviços. Os seguintes recursos do Azure Key Vault ajudam os clientes a proteger e acessar esses dados:

• As políticas de acesso avançadas são configuradas com base na necessidade.
• As políticas de acesso ao Cofre da Chave são definidas com as permissões mínimas necessárias para chaves e segredos.
• Todas as chaves e segredos no Cofre de Chaves têm datas de validade.
• Todas as chaves no Key Vault são protegidas por módulos de segurança de hardware especializados. O tipo de chave é uma chave RSA de 2048 bits protegida por HSM.
• Todos os usuários e identidades recebem permissões mínimas necessárias usando o controle de acesso baseado em função.
• Os registos de diagnóstico do Cofre de Chaves estão ativados com um período de retenção de pelo menos 365 dias.
• As operações criptográficas permitidas para chaves são restritas às necessárias.

Central de Segurança do Azure: com a Central de Segurança do Azure, os clientes podem aplicar e gerenciar centralmente políticas de segurança em cargas de trabalho, limitar a exposição a ameaças e detetar e responder a ataques. Além disso, a Central de Segurança do Azure acessa as configurações existentes dos serviços do Azure para fornecer recomendações de configuração e serviço para ajudar a melhorar a postura de segurança e proteger os dados.

A Central de Segurança do Azure usa uma variedade de recursos de deteção para alertar os clientes sobre possíveis ataques direcionados a seus ambientes. Esses alertas contêm informações valiosas sobre o que desencadeou o alerta, os recursos visados e a origem do ataque. A Central de Segurança do Azure tem um conjunto de alertas de segurança predefinidos, que são acionados quando ocorre uma ameaça ou atividade suspeita. As regras de alerta personalizadas na Central de Segurança do Azure permitem que os clientes definam novos alertas de segurança com base nos dados já coletados de seu ambiente.

A Central de Segurança do Azure fornece alertas e incidentes de segurança priorizados, tornando mais simples para os clientes descobrirem e resolverem possíveis problemas de segurança. Um relatório de inteligência de ameaças é gerado para cada ameaça detetada para ajudar as equipes de resposta a incidentes na investigação e correção de ameaças.

Registo e auditoria

Os serviços do Azure registram extensivamente a atividade do sistema e do usuário, bem como a integridade do sistema:

• Logs de atividades: os logs de atividades fornecem informações sobre as operações executadas em recursos em uma assinatura. Os logs de atividades podem ajudar a determinar o iniciador de uma operação, a hora de ocorrência e o status.
• Logs de diagnóstico: os logs de diagnóstico incluem todos os logs emitidos por cada recurso. Esses logs incluem logs do sistema de eventos do Windows, logs de Armazenamento do Azure, os logs de auditoria do Cofre de Chaves e logs de acesso e firewall do Gateway de Aplicações. Todos os logs de diagnóstico gravam em uma conta de armazenamento do Azure centralizada e criptografada para arquivamento. A retenção é configurável pelo usuário, até 730 dias, para atender aos requisitos de retenção específicos da organização.

Logs do Azure Monitor: esses logs são consolidados nos logs do Azure Monitor para processamento, armazenamento e relatórios de painel. Uma vez coletados, os dados são organizados em tabelas separadas para cada tipo de dados nos espaços de trabalho do Log Analytics, o que permite que todos os dados sejam analisados juntos, independentemente de sua fonte original. Além disso, a Central de Segurança do Azure se integra aos logs do Azure Monitor, permitindo que os clientes usem consultas Kusto para acessar seus dados de eventos de segurança e combiná-los com dados de outros serviços.

As seguintes soluções de monitoramento do Azure estão incluídas como parte dessa arquitetura:

• Avaliação do Ative Directory: a solução de verificação de integridade do Ative Directory avalia o risco e a integridade dos ambientes de servidor em um intervalo regular e fornece uma lista priorizada de recomendações específicas para a infraestrutura de servidor implantada.
• Avaliação SQL: A solução SQL Health Check avalia o risco e a integridade dos ambientes de servidor a intervalos regulares e fornece aos utilizadores uma lista priorizada de recomendações específicas para a infraestrutura de servidor implementada.
• Agent Health: A solução Agent Health relata quantos agentes estão implantados e sua distribuição geográfica, bem como quantos agentes não respondem e o número de agentes que estão enviando dados operacionais.
• Análise de Log de Atividades: a solução de Análise de Log de Atividades auxilia na análise dos logs de atividade do Azure em todas as assinaturas do Azure para um cliente específico.

Automação do Azure: a Automação do Azure armazena, executa e gerencia runbooks. Nesta solução, os runbooks ajudam a coletar logs do Banco de Dados SQL do Azure. A solução Automation Change Tracking permite que os clientes identifiquem facilmente alterações no ambiente.

Azure Monitor: o Azure Monitor ajuda os usuários a acompanhar o desempenho, manter a segurança e identificar tendências, permitindo que as organizações auditem, criem alertas e arquivem dados, incluindo o rastreamento de chamadas de API em seus recursos do Azure.

Application Insights: o Application Insights é um serviço extensível de Gerenciamento de Desempenho de Aplicativos (APM) para desenvolvedores da Web em várias plataformas. Ele deteta anomalias de desempenho e inclui poderosas ferramentas de análise para ajudar a diagnosticar problemas e entender o que os usuários realmente fazem com o aplicativo. Ele foi projetado para ajudar os usuários a melhorar continuamente o desempenho e a usabilidade.

Modelo de ameaça

O diagrama de fluxo de dados para esta arquitetura de referência está disponível para download ou pode ser encontrado abaixo. Esse modelo pode ajudar os clientes a entender os pontos de risco potencial na infraestrutura do sistema ao fazer modificações.

Documentação de conformidade

O Azure Security and Compliance Blueprint – FFIEC Customer Responsibility Matrix lista todos os objetivos exigidos pela FFIEC. Esta matriz detalha se a implementação de cada objetivo é da responsabilidade da Microsoft, do cliente ou partilhada entre os dois.

O Azure Security and Compliance Blueprint – FFIEC Data Analytics Implementation Matrix fornece informações sobre quais objetivos FFIEC são abordados pela arquitetura de análise de dados, incluindo descrições detalhadas de como a implementação atende aos requisitos de cada objetivo coberto.

Orientações e recomendações

VPN e ExpressRoute

Um túnel VPN seguro ou Rota Expressa precisa ser configurado para estabelecer com segurança uma conexão com os recursos implantados como parte dessa arquitetura de referência de análise de dados. Ao configurar adequadamente uma VPN ou Rota Expressa, os clientes podem adicionar uma camada de proteção para os dados em trânsito.

Ao implementar um túnel VPN seguro com o Azure, uma conexão virtual privada entre uma rede local e uma Rede Virtual do Azure pode ser criada. Essa conexão ocorre pela Internet e permite que os clientes "tunelem" informações com segurança dentro de um link criptografado entre a rede do cliente e o Azure. A VPN site a site é uma tecnologia segura e madura que tem sido implantada por empresas de todos os tamanhos há décadas. O modo de túnel IPsec é usado nesta opção como um mecanismo de criptografia.

Como o tráfego dentro do túnel VPN atravessa a Internet numa VPN de site a site, a Microsoft oferece uma opção de ligação ainda mais segura. O Azure ExpressRoute é um link WAN dedicado entre o Azure e um local local ou um provedor de hospedagem do Exchange. Como as conexões de Rota Expressa não passam pela Internet, essas conexões oferecem mais confiabilidade, velocidades mais rápidas, latências mais baixas e maior segurança do que as conexões típicas pela Internet. Além disso, uma vez que se trata de uma ligação direta do fornecedor de telecomunicações do cliente, os dados não circulam através da Internet e, por conseguinte, não estão expostos aos mesmos.

As práticas recomendadas para implementar uma rede híbrida segura que estende uma rede local para o Azure estão disponíveis.

Processo de Extração-Transformação-Carregamento

O PolyBase pode carregar dados no Banco de Dados SQL do Azure sem a necessidade de uma ferramenta separada de extração, transformação, carregamento ou importação. O PolyBase permite o acesso aos dados através de consultas T-SQL. A pilha de análise e inteligência empresarial da Microsoft, bem como ferramentas de terceiros compatíveis com o SQL Server, podem ser usadas com PolyBase.

Configuração do Ative Directory do Azure

O Azure Ative Directory é essencial para gerenciar a implantação e o acesso de provisionamento para o pessoal que interage com o ambiente. Um Ative Directory existente do Windows Server pode ser integrado ao Azure Ative Directory em quatro cliques. Os clientes também podem vincular a infraestrutura do Ative Directory implantada (controladores de domínio) a um Ative Directory do Azure existente, tornando a infraestrutura do Ative Directory implantada um subdomínio de uma floresta do Azure Ative Directory.

Declaração de exoneração de responsabilidade

• Este documento é apenas para fins informativos. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU ESTATUTÁRIAS, EM RELAÇÃO ÀS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO. Este documento é fornecido "as-is". As informações e opiniões expressas neste documento, incluindo URL e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. Os clientes que lerem este documento correm o risco de o utilizar.
• Este documento não fornece aos clientes quaisquer direitos legais sobre qualquer propriedade intelectual em qualquer produto ou solução da Microsoft.
• Os clientes podem copiar e usar este documento para fins de referência interna.
• Determinadas recomendações neste documento podem resultar no aumento do uso de dados, rede ou recursos de computação no Azure e podem aumentar os custos de licença ou assinatura do Azure de um cliente.
• Esta arquitetura destina-se a servir como base para os clientes se ajustarem aos seus requisitos específicos e não deve ser usada as-is em um ambiente de produção.
• Este documento é desenvolvido como uma referência e não deve ser usado para definir todos os meios pelos quais um cliente pode atender a requisitos e regulamentos específicos de conformidade. Os clientes devem procurar apoio jurídico de sua organização em implementações aprovadas pelo cliente.